تحذير من برنامج Valley RAT الخبيث الذي ينتحل صفة "مشروع قرار المؤتمر الوطني الرابع عشر للحزب"

إنها خدعة تستغل البيئة السياسية الواسعة بين الناس لنشر البرمجيات الخبيثة وسرقة المعلومات وتشكل خطرا على أمن أنظمة المعلومات الخاصة بالهيئات والمنظمات والأفراد.

وفقًا لإدارة الأمن السيبراني ومكافحة جرائم التكنولوجيا المتقدمة (شرطة مدينة هانوي )، فإن برنامج Valley RAT الخبيث مُخفى في ملف باسم "DRAFT RESOLUTION OF THE CONGRESS.exe". عندما يفتح المستخدم الملف، يُثبّت البرنامج الخبيث نفسه فورًا في النظام، ويعمل تلقائيًا في كل مرة يبدأ فيها تشغيل الكمبيوتر ويتصل بخادم التحكم (C2) على العنوان 27.124.9.13 (المنفذ 5689) الذي يتحكم به المتسللون. من هنا، يُمكن للبرنامج الخبيث القيام بأعمال خطيرة: سرقة معلومات حساسة من جهاز المستخدم؛ السيطرة على الكمبيوتر؛ سرقة الحسابات الشخصية وحسابات الوكالات؛ جمع المستندات الداخلية؛ مواصلة نشر البرنامج الخبيث إلى أجهزة أخرى في نفس النظام.

العامل الخطير هو أن واجهة الملف متخفية لتبدو وكأنها مستند إداري حقيقي، مما يجعل من السهل على المستخدمين الخلط، خاصة في سياق العديد من الوحدات التي ترسل وتستقبل المستندات للتعليق على المستندات.

ومن خلال المسح الموسع، اكتشفت السلطات المزيد من الملفات الخبيثة ذات الهياكل المماثلة، والتي بدت مثل المستندات الإدارية المألوفة: FINANCIAL REPORT2.exe أو BUSINESS INSURANCE PAYMENT.exe؛ GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe؛ TAX DECLARATION SUPPORT.exe؛ PARTY ACTIVITY EVALUATION DOCUMENT.exe أو AUTHORIZATION FORM.exe؛ MINUTES OF REPORT FOR THE THIRD QUARTER.exe

تتم تسمية هذه الملفات وفقًا لتفاصيل العمل المكتبي أو المالية أو شؤون الأحزاب أو الضرائب... مما يزيد من احتمالية اعتقاد المستخدمين بأنها مستندات داخلية وفتحها، مما يخلق الظروف المناسبة لانتشار البرامج الضارة.

من خلال التحليل الفني، قامت شرطة مدينة هانوي بتقييم Valley RAT على أنه خطير بشكل خاص لأنه يمتلك خصائص تجعله تهديدًا كبيرًا: الاختباء في النظام، والبدء تلقائيًا مع Windows؛ السماح للمتسللين بالتحكم عن بعد في الجهاز؛ القدرة على تنزيل برامج ضارة إضافية؛ جمع البيانات الحساسة تلقائيًا وإرسالها إلى خادم التحكم؛ القدرة على تسجيل ضغطات المفاتيح، والتقاط لقطات شاشة، وسرقة كلمات المرور المحفوظة في المتصفح؛ الانتشار بسهولة في نظام الشبكة الداخلية...

تستخدم العديد من الهيئات والمؤسسات البريد الإلكتروني الداخلي أو Zalo أو Facebook Messenger لتبادل المستندات، مما يُهيئ بيئةً مواتيةً لانتشار البرامج الضارة دون قصد في حال إصابة جهاز كمبيوتر واحد فقط في النظام. لضمان أمن المعلومات، أصدرت إدارة الأمن السيبراني ومنع جرائم التكنولوجيا المتقدمة في شرطة مدينة هانوي توصياتٍ محددة: لا تفتح أو تُنزّل ملفاتٍ غريبة، مثل ملفات .exe، من البريد الإلكتروني أو مواقع التواصل الاجتماعي، وتوخَّ الحذر بشكل خاص من الملفات ذات الامتدادات التالية: .exe؛ .dll؛ .bat؛ .msi... حتى لو كان الملف مُرسلاً من أحد معارفك (قد يكون الحساب مُخترقًا).

وأشارت شرطة هانوي إلى أن برنامج مكافحة الفيروسات المجاني "كاسبرسكي" لم يتمكن حتى الآن من اكتشاف هذا النوع من البرمجيات الخبيثة.

بالإضافة إلى استخدام برامج مكافحة الفيروسات وجدران الحماية، يحتاج الأشخاص إلى استخدام Process Explorer لرؤية العمليات الغريبة بدون توقيعات رقمية؛ واستخدام TCPView للتحقق من الاتصال؛ إذا رأيت اتصالاً بعنوان IP 27.124.9.13، فيجب عليك التعامل معه على الفور.

يجب على الناس تلقي معلومات تحذيرية رسمية، واتباع التوصيات من: وزارة الأمن العام ؛ وزارة المعلومات والاتصالات؛ الشرطة المحلية؛ عدم مشاركة الملفات المشبوهة على الشبكات الاجتماعية لتجنب الانتشار؛ زيادة اليقظة لحماية أمن الشبكة الوطنية...

المصدر: https://baolaocai.vn/canh-bao-ma-doc-valley-rat-gia-danh-du-thao-nghi-quyet-dai-hoi-xiv-cua-dang-post886962.html